On Fri, 2024-05-31 at 20:37 +0200, Laurent Barme wrote: > > Le 31/05/2024 à 19:10, Florent Daigniere a écrit : > … > > par contre avoir des traitements non automatisés je n'imagine pas > > comment cela pourrait fonctionner. > > > Tu n'imagines pas comment cela fonctionnait il y a une soixantaine > d'année ? > …
Très mal. J'en veux pour preuve que dans ma famille nous avons perdu l'accent sur notre nom et que Toussain semble avoir des problèmes similaires. L'explication qui nous a été donnée c'est que l'accent grave ne se tape pas bien à la machine à écrire... et que donc il a été perdu quand les registres ont été dactylographiés (ce qui n'était pas un traitement automatisé). Deux générations plus tard, mon ancienne carte d'identité avait un accent alors que mes passeports n'en ont jamais eu. Vive les traitements non automatisés. > > On ne doit pas vivre dans le même monde. > Si mais manifestement pas avec la même perception. > > > L'usurpation d'identité est un > > vrai problème qui a pour source le fait que la loi impose aux > > opérateurs > > de services de stoker des données sensibles (dont ils n'ont pas > > besoin > > et qu'ils ne stockeraient pas si ils n'y étaient pas obligés) "au > > cas > > où". > Ah bon. > > Benh oui, le KYC a un coût tant du coté utilisateur que prestataire; personne ne le fait pour le plaisir. > > Si tes papiers fuient sur un service, ils seront réutilisés ailleurs > > (donc il y a bien propagation d'incident) jusqu'à leur expiration > > (qui > > se mesure en décennie). > > > > > > ... de partout et des utilisateurs qui réutilisent leur > > > > mot de passe entre les services (credential stuffing). > > > Justement, l'intérêt de mots de passe distincts par service est > > > que si > > > un problème survient sur un service, cela ne pollue pas les > > > autres. > > > > > Dans le vrai monde c'est le corollaire qui est vrai: les > > utilisateurs > > n'utilisent pas de mots de passe distincts > Comment pourrais-tu le savoir ? > > Regardes les données. Prends tous les DBIRs sur ces dernière années et tu verras que le "top 2" c'est toujours (i) credential stuffing (ii) social engineering/phishing (l'humain qui t'es très cher) https://www.verizon.com/business/resources/reports/dbir/ Si tu cherches un argument d'autorité je peux t'en donner un aussi. C'est mon métier: la boite pour laquelle je travaille fait des prestations d'audit en sécurité (dont des audits de mot de passe) depuis des décennies et vends des produits dont https://pwncheck.me (un logiciel d'audit de mots de passe) et https://safepass.me (une solution pour Active Directory, toujours autour des mots de passe). Je pense avoir une opinion éclairée sur le sujet. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
